当前位置：首页>Linux>一招教会,Linux 服务器入侵溯源

一招教会,Linux 服务器入侵溯源

1. 查看失败登录尝试（lastb 命令）
lastb 可以查看系统所有登录失败的尝试，一般暴力破解的痕迹会出现此。

lastb | head -n 20   # 查看最近 20 次登录失败

banned ssh:notty 103.20.45.89 Thu Apr 11 09:50 - 09:51 (00:01)

2. 查看最近的登录记录（last 命令）
使用 last 命令查看系统的登录历史，了解有哪些用户何时、从哪里登录了系统。

last -n 20 # 查看最近 20 条登录记录

last -f /var/log/wtmp # 指定登录日志文件（默认也是 wtmp）

root pts/0 192.168.1.101 Thu Apr 11 10:15 still logged in

hacker pts/1 20.76.100.89 Thu Apr 11 09:55 - 10:05 (00:10)

grep "Accepted" /var/log/secure # CentOS/ RHEL

grep "Accepted" /var/log/auth.log # Ubuntu/Debian

Apr 11 10:15:00 server sshd[1234]: Accepted password for root from 45.76.123.89 port 45678 ssh2

3.2 查找登录失败记录

grep "Failed password" /var/log/secure

grep "Failed password" /var/log/auth.log

grep "session opened" /var/log/secure | grep "root"

who

示例输出中如发现陌生用户名（如 hacker、test1234），说明系统已被控制。
5. 检查 SSH 配置是否被篡改
入侵者可能会修改 SSH 配置，放宽登录条件。

cat /etc/ssh/sshd_config | grep PermitRootLogin

PermitRootLogin no

cat ~/.bash_history | tail -n 50

whois 20.76.100.89

ping -c 4 20.76.100.89

curl -s https://api.abuseipdb.com/api/v2/check?ipAddress=45.76.123.89

8. 应急处理建议
8.1 封禁可疑 IP

iptables -A INPUT -s 20.76.100.89 -j DROP

firewall-cmd --add-rich-rule='rule family="ipv4" source address="45.76.123.89" reject' --permanent

fail2ban-client set sshd banip 45.76.123.89

vim /etc/ssh/sshd_config

Port 2222

PermitRootLogin no

systemctl restart sshd

pkill -u hacker

usermod -L hacker

passwd root

yum update -y  # CentOS

apt update && apt upgrade -y  # Ubuntu/Debian